Il miglior SSL per l'hosting di server Web

La sicurezza dell'ambiente di hosting, del sito Web e delle interazioni con i clienti è più importante che mai. Con minacce e attacchi costanti, vuoi assicurarti che i tuoi visitatori si fidino del fatto che tu abbia in mente la loro sicurezza e che tu sia attivo nella protezione delle loro informazioni. Fornire una connessione sicura al tuo sito web con un certificato Secure Socket Layer (SSL) è uno dei metodi più semplici per dimostrare ai tuoi visitatori che prendi sul serio la sicurezza. Tuttavia non tutti i certificati SSL sono considerati uguali o forniscono le stesse garanzie. Determinare quale è il migliore per te e per la tua attività è una scelta importante e dipende dalle tue esigenze particolari.

Che cos'è un certificato SSL?

Per decidere quale SSL è il migliore per la tua azienda, devi prima capire cos'è un certificato SSL. Un certificato SSL è un "certificato" digitale (fondamentalmente un file) che viene utilizzato per fornire crittografia e decrittografia tra un host (tu) e un client (il tuo visitatore). Questo certificato certifica la proprietà e l'autenticità di un dominio. In altre parole: dice al tuo visitatore (e, soprattutto, al suo browser) che il dominio che sta visitando è in realtà il dominio a cui crede di andare e che appartiene a chi pensa dovrebbe appartenere. Questo certificato consente inoltre al browser di comunicare con il tuo sito Web in modo sicuro. Quando guardi l'URL / barra degli indirizzi nel browser e vedi https, la parte "s" rappresenta la connessione sicura fornita dal certificato SSL.

Come funziona un SSL?

Prima di poter scegliere quale SSL si adatta meglio alle tue esigenze, dovresti anche comprendere il processo di utilizzo di un SSL. L'idea di base è quella di creare una “catena di fiducia”; un percorso che inizia sul tuo computer con il tuo browser e termina con un'organizzazione che fornisce il certificato SSL noto come "Autorità di certificazione" o "CA". Quando visiti un sito, il tuo browser esamina il certificato SSL e inizia a "seguire" le informazioni in esso contenute, rivedendo ogni passaggio e assicurandosi che il componente sia "firmato" digitalmente da un'organizzazione o CA di cui il tuo browser si fida. Seguendo questo percorso il tuo browser può garantire che le informazioni che riceve da un sito siano accurate poiché ogni passaggio verifica l'ultimo, terminando presso la CA che ha un accordo specifico con il tuo browser ^[1] .

Inoltre, il tuo browser utilizza il certificato SSL per stabilire una connessione sicura al server del sito web che stai visitando. C'è una serie di messaggi avanti e indietro per negoziare o confermare che il sito e il tuo browser possono comunicare in modo sicuro e che il sito Web che il tuo browser sta visitando è veramente il sito Web in cui credi di essere.

[1] – Questo è parte del motivo per cui gli SSL potrebbero avere un addebito ad essi associato. L'autorità di certificazione deve essere approvata da ogni browser da cui desidera che i certificati SSL vengano riconosciuti. Questo fa parte del costo del lavoro ed è un processo che richiede tempo e difficile. È anche il motivo per cui i certificati SSL possono essere considerati affidabili: non tutti possono avviare un'autorità di certificazione ed emettere certificati SSL che saranno considerati attendibili dai browser più comunemente utilizzati.

Tipi di certificati SSL

Per determinare quale SSL è il migliore per l'azienda o il sito che gestisci, dovresti anche comprendere i diversi tipi di SSL e il modo in cui possono essere utilizzati. Questo articolo toccherà brevemente quattro tipi di certificati SSL tra cui puoi scegliere:

Autofirmato

Questo certificato SSL è uno che crei ed essenzialmente "firmi" da solo, affermando che sei chi dici di essere e il tuo sito è il sito che proclama di essere. Questi vanno bene quando lavori con un sito a cui accederanno solo le persone che conosci / di cui ti fidi. Non devono preoccuparsi dell'autenticità perché sanno già esattamente chi lo sta operando e che è sicuro. Questi non dovrebbero essere utilizzati per nessun tipo di attività online o sito in cui si fermeranno visitatori casuali poiché i certificati autofirmati presenteranno un errore/avviso nella maggior parte dei browser sulla non affidabilità (che può spaventare visitatori/clienti).

Singolo dominio

Il certificato SSL a dominio singolo rappresenterà esattamente ciò che dice: un unico nome di dominio completo. Questo non supporta alcun tipo di sottodomini di un dominio a meno che non sia ciò per cui l'SSL è specificamente configurato (quindi un SSL per mail.example.com fornirà sicurezza e autenticità solo a mail.example.com, non a www.example.com ). Inoltre, i domini di primo livello (TLD) alternativi come .net, .org, ecc... non sono coperti automaticamente a meno che un certificato SSL non venga acquistato/configurato esplicitamente per quel nome di dominio TLD.

Carta jolly

Il jolly SSL fornisce sicurezza e autenticità per tutti i sottodomini di un nome di dominio. Il termine "carattere jolly" rappresenta tutti i possibili sottodomini che potrebbero essere utilizzati con il tuo nome di dominio principale. Ciò è particolarmente utile se non sei sicuro di come utilizzare i sottodomini per la tua attività o sai di avere un gran numero di sottodomini che necessitano di copertura (tanto che l'aumento del costo di un sottodominio con caratteri jolly è più economico rispetto all'acquisto di singoli SSL a dominio coprire tutti i tuoi sottodomini).

Multidominio

L'SSL multidominio, anziché concentrarsi sulla copertura di più sottodomini, fornisce copertura per più nomi host. Questi nomi alternativi soggetto (SAN) sono elencati sul certificato SSL e il tuo browser li controlla individualmente quando visiti un sito. Dopo aver ricevuto il certificato SSL e aver esaminato le SAN, il tuo browser identificherà se il dominio corrisponde a una delle SAN e, in tal caso, creerà la connessione sicura. Questo tipo di SSL è estremamente utile se ci sono più domini che controlli che vuoi proteggere o che riguardano tutti la tua attività in quanto hai un solo certificato da gestire e mantenere aggiornato/configurato sui tuoi server.

Livelli di convalida

A parte i tipi specifici di certificati SSL offerti, le varie autorità di certificazione possono fornire diversi livelli di "convalida" per dimostrare che il proprietario dell'SSL è chi dicono di essere. I vari tipi di validazione si presentano in modo diverso al tuo browser e forniscono ai visitatori dei siti che utilizzano SSL una conferma visiva della connessione SSL. Inoltre: il grado di convalida che è andato a dimostrare che il richiedente/proprietario dell'SSL è chi dice di essere è aumentato con i vari livelli offerti a seconda delle esigenze della tua attività. Una rapida ripartizione di tali livelli di convalida è la seguente:

Dominio convalidato (DV)

Questo è il livello di convalida più comune e più semplice da superare. L'unico qualificatore è che dimostri che il dominio per il quale stai ordinando un SSL è sotto il tuo controllo. Potrebbe essere la risposta a un'e-mail inviata a un indirizzo in quel dominio per modificare un record DNS per il dominio in modo che un sistema automatizzato possa esaminarlo. Questo metodo di convalida richiede solitamente da pochi minuti a un paio d'ore al massimo. I browser visualizzeranno l'icona di un lucchetto sulla barra degli indirizzi a indicare che è in corso una connessione sicura e crittografata al sito fornita da SSL.

Convalidato organizzativo (OV)

Questa è una convalida più approfondita e dettagliata. Il proprietario o l'azienda viene effettivamente contattato e devono essere presentati documenti che dimostrino che la tua azienda è un'attività legittima. Il nome della persona o dell'organizzazione è associato all'SSL se rivisto; tuttavia i browser visualizzeranno lo stesso indicatore visivo di un SSL convalidato dal dominio. Questo di solito può essere completato in un paio di giorni.

Convalida estesa (EV)

Questo è il livello più complicato di convalida e richiede più di una settimana o più. I registri pubblici vengono utilizzati per dimostrare l'ubicazione della tua attività, che la tua attività esiste/è legittima e in genere richiede una comunicazione di persona/al telefono per fornire ulteriori verifiche e informazioni. Questo è un processo di controllo estremo che richiede molta comunicazione avanti e indietro e segue linee guida rigorose; tuttavia risulta in un indicatore visivo della barra verde nei browser; l'unico SSL ad offrirlo ed è considerato il più affidabile degli SSL.

Perché gli SSL sono importanti?

Questo articolo ha brevemente accennato al motivo per cui un certificato SSL è importante, ma è fondamentale approfondire questo punto poiché la sicurezza è una necessità sempre crescente per le aziende di prendere sul serio. I clienti si aspettano che i loro dati siano protetti e che possano fidarsi dei siti che visitano. Perdere quella fiducia significa perdere affari e reputazione.

Ci sono tre ragioni principali per SSL: privacy, autenticazione e integrità dei dati. Il primo, la privacy, è estremamente importante in quanto il certificato SSL e la connessione crittografata che aiuta a creare proteggono le informazioni fornite dai tuoi clienti dall'intercettazione e dalla visualizzazione in "testo normale". Ciò impedisce che le informazioni sui tuoi clienti come numeri di carta di credito, nomi utente o altri dati personali vengano intercettate da malintenzionati.

Questo porta al secondo punto: l'autenticazione. Gli SSL aiutano a garantire che solo l'origine e la destinazione sappiano quali sono quei dati e possano usarli, ma anche per dimostrare alla fonte che stanno comunicando con la persona con cui si aspettano di comunicare. Il certificato SSL è un modo semplice e veloce per dimostrare che un dominio è legittimo, che un'azienda è stata controllata e che il sito che un visitatore sta visualizzando è quello che si aspetta di vedere. I siti di phishing sono estremamente comuni, ma a causa dei certificati SSL e del processo di verifica è altamente improbabile

Infine, l'integrità dei dati. In parole povere questo significa che le informazioni che un visitatore ti invia sono le informazioni che ricevi (e viceversa). Questo è importante tanto quanto gli altri due aspetti poiché vogliamo assicurarci che se effettuiamo una transazione finanziaria o una richiesta di acquisto che tale richiesta venga interpretata correttamente. Il certificato SSL e la crittografia / integrità dei dati che fornisce consentono alle aziende di fornire ai propri visitatori un livello di certezza che ciò che ti chiedono o ti inviano è ciò che ricevi.

Tutti i punti di cui sopra sono estremamente importanti per qualsiasi entità su Internet oggi. I settori bancario, medico, dei trasporti e dello shopping dipendono dalla protezione della comunicazione dei dati. Le organizzazioni di conformità e regolamentazione come PCI o HIPAA hanno requisiti rigorosi per essere approvati e un certificato SSL è quasi sempre in cima alla lista.

Cosa rende un SSL buono / migliore / migliore?

Ci sono alcuni fattori che differiscono tra i vari tipi di SSL e il modo in cui vengono acquisiti. Il primo di cui devi essere consapevole è la lunghezza della chiave. Il modo più semplice per ricordare la lunghezza delle chiavi e ciò che dovresti ottenere è che le chiavi più grandi (più lunghe) siano migliori e forniscano una maggiore sicurezza. È prassi comune ora ordinare un SSL con 2048 bit per la lunghezza della chiave. Non dovresti più ordinare SSL con lunghezze di chiave di 1024 bit in quanto si sono rivelati inefficaci e possono essere facilmente violati da malintenzionati per curiosare sui dati tra il tuo sito e i visitatori.

Sopra ho parlato delle autorità di certificazione e di come non tutte siano accettate da tutti i browser. Questo è un componente importante da considerare quando si acquisisce un certificato SSL poiché è necessario conoscere il proprio pubblico e se potrebbero utilizzare browser oscuri o solo le varianti popolari. Maggiore è la base di un browser, più esigente sarà poiché deve garantire la massima sicurezza per gli utenti che deve considerare. Le autorità di certificazione più affermate lavorano anche per proteggere la propria reputazione e vogliono essere conosciute per aver preso sul serio il loro processo di controllo in modo da essere considerate come un aiuto alle persone che potrebbero avere intenzioni dannose dietro le loro richieste SSL.

Infine, lo scopo per cui desideri un SSL. Oggi vediamo una spinta da parte di tutte le principali società tecnologiche a "proteggere il Web" e utilizzare SSL su tutta la linea. Ogni sito dovrebbe cercare di fornire la massima sicurezza possibile (o pratica) ai propri visitatori. I certificati SSL, sebbene necessari per le aziende, sono rilevanti anche per siti semplicemente informativi e di notizie come i blog. Avere un SSL per un blog può fornire quella sicurezza e la conferma ai visitatori che si trovano sul blog che si aspettano e non un tentativo di imitazione o phishing o persino qualcuno che tenta di trasmettere informazioni false (come un blog di sicurezza che dice alle persone di utilizzare password semplici).

Qual è il migliore SSL per l'hosting di server Web?

Con la nostra comprensione dei certificati SSL e del modo in cui vengono utilizzati, ora possiamo esaminare ciò che è meglio per il comune settore dei server Web e dell'hosting. Sebbene la sicurezza sia estremamente importante per qualsiasi tipo di presenza online, raramente vediamo la necessità di un controllo estremo richiesto dai certificati SSL EV. I settori medico, finanziario e dei trasporti tendono ad avere visitatori diffidenti e inizialmente cauti semplicemente perché quelle aziende vengono spesso imitate e prese di mira per attacchi dannosi. Inoltre, hanno requisiti rigorosi per le linee guida di sicurezza che sono tenuti a seguire per legge. Gli SSL EV sono l'ideale per loro, ma non per il tipico server Web per un'azienda online.

L'SSL convalidato dall'organizzazione o dal dominio è la scelta ideale di convalida per la stragrande maggioranza delle aziende online poiché sono più veloci da acquisire e forniscono lo stesso livello di protezione e conferma visiva. A meno che tu non ritenga che alcuni aspetti della tua attività siano identificati dall'SSL, un SSL DV con una semplice convalida del controllo del dominio è l'SSL che meglio si adatta alla maggior parte delle persone, aziende e siti online.

In termini di tipo di SSL da ottenere, consiglio spesso alle persone di pianificare il futuro. Il jolly SSL ti consente di fornire una semplice protezione SSL per il tuo dominio, fornendo anche la libertà di espandersi con qualsiasi sottodominio che rientri nell'ambito del tuo piano aziendale o delle esigenze del tuo sito. Potrebbe non essere necessario fornire la protezione SSL per i tuoi sottodomini, ma avere l'opzione è sempre meglio. Inoltre: avendo un unico certificato SSL per tenere traccia di te, non devi più preoccuparti di più certificati che scadono in giorni diversi, riducendo la complessità operativa. Un unico certificato semplifica la replica su più server Web e semplifica le attività di amministrazione, riducendo in definitiva costi e rischi.

Conclusione

Nel complesso, solo tu conoscerai le esigenze del tuo sito online e come soddisfarle al meglio. L'utilizzo di un certificato SSL per proteggere il tuo sito e i visitatori è uno dei modi più semplici per comunicare che prendi sul serio la tua presenza online e la sicurezza dei tuoi visitatori come una priorità. Pensare alla crescita della tua attività e alla direzione in cui vedi il tuo sito può aiutare a prevenire problemi tecnici per i tuoi server web e come proteggerli in futuro.